В мобильной угрозной среде появился новый опасный игрок - семейство банковских троянцев для Android под названием Massiv. Этот вредоносный код обладает расширенными возможностями для полного удаленного управления зараженным устройством (Device Takeover), что позволяет злоумышленникам не только похищать учетные данные, но и напрямую проводить мошеннические операции от лица жертвы. Особую угрозу Massiv представляет для пользователей в южной Европе, где инструмент уже используется для обхода систем цифровой идентификации, в частности, португальской государственной системы аутентификации. Распространение происходит преимущественно через поддельные приложения для IPTV-телевидения, загружаемые из неофициальных источников, что эксплуатирует привычку пользователей искать обходные пути для доступа к премиум-контенту.
Описание
Суть угрозы: от кража данных до полного контроля
Massiv является независимым семейством вредоносного программного обеспечения, не связанным с известными ранее троянцами. Его ключевая особенность - комплексный подход к атаке, который включает несколько этапов. На начальной стадии троянец использует классическую для банковских угроз технику оверлейных атак (overlay attack). Он накладывает поверх легитимных банковских или государственных приложений фишинговые окна, внешне неотличимые от оригинальных интерфейсов. Это позволяет злоумышленникам собирать логины, пароли, PIN-коды и данные банковских карт.
Однако на этом функционал не заканчивается. Massiv активно перехватывает SMS-сообщения и push-уведомления, что критически важно для обхода двухфакторной аутентификации (2FA). Но наиболее опасной возможностью является модуль удаленного доступа, реализованный через злоупотребление службой специальных возможностей Android (AccessibilityService). Эта служба, предназначенная для помощи пользователям с ограниченными возможностями, в руках злоумышленников превращается в мощный инструмент для скрытого наблюдения и управления устройством.
Техническая реализация удаленного управления: два режима работы
Удаленный контроль реализован через класс FuncVNC, который устанавливает постоянный канал связи с командным сервером через протокол WebSocket. Для передачи данных об интерфейсе устройства троянец использует два режима, что повышает его устойчивость.
Первый режим - это прямая потоковая передача экрана (screen streaming) с использованием стандартного API MediaProjection. Он позволяет оператору видеть в реальном времени всё, что происходит на устройстве жертвы.
Второй режим, более изощренный и менее требовательный к ресурсам, - это построение JSON-модели дерева интерфейса (UI-tree mode). В этом случае Massiv рекурсивно анализирует объекты AccessibilityNodeInfo, которые представляют собой элементы интерфейса (кнопки, поля ввода, текстовые блоки). Троянец строит структурированное JSON-представление, включающее видимый текст, описания, координаты на экране и флаги взаимодействия (например, доступность для нажатия или редактирования). Эта модель позволяет оператору точно понимать расположение элементов на экране и отправлять команды для автоматического взаимодействия с ними, например, для нажатия кнопки подтверждения перевода.
Целевые атаки на системы цифровой идентификации
Особенностью кампаний, связанных с Massiv, является их целенаправленный характер и фокус на обходе усиленных процедур верификации. В Португалии троянец активно атакует официальное государственное приложение gov[.]pt, которое функционирует как цифровой кошелек для удостоверения личности. С помощью оверлеев злоумышленники получают номер телефона и PIN-код жертвы, необходимые для работы с системой Chave Móvel Digital (Цифровой мобильный ключ). Эта система используется для безопасного доступа как к государственным, так и к частным сервисам, включая онлайн-банкинг.
Получив эти данные, мошенники могут пройти процедуру KYC (Know Your Customer, «Знай своего клиента») от имени жертвы и получить прямой доступ к её банковским счетам. Это открывает возможности не только для кражи средств с существующих счетов, но и для открытия новых счетов или оформления кредитов на имя пострадавшего, что используется для отмывания денег и последующего обналичивания.
Вектор распространения: эксплуатация спроса на пиратский контент
Основной канал распространения Massiv - это поддельные приложения для доступа к IPTV-сервисам (интерактивному телевидению через интернет). Такие приложения часто предлагают доступ к платным или географически ограниченным телеканалам, включая трансляции спортивных событий, что делает их популярными среди определенной аудитории. Поскольку подобный контент обычно нарушает авторские права, эти приложения не публикуются в официальном магазине Google Play.
Пользователи, привыкшие к установке программ из сторонних источников (sideloading), например, с сайтов или через каналы в Telegram, становятся легкой мишенью. В анализируемых случаях дроппер (установщик) Massiv запускает WebView с легитимным сайтом IPTV-провайдера, создавая видимость нормальной работы, в то время как на заднем плане происходит тихая установка и активация вредоносного модуля. Эта тактика маскировки под популярные утилиты становится всё более распространенной в мобильной угрозной среде, особенно в последние 6-8 месяцев, с фокусом на Испанию, Португалию, Францию и Турцию.
Выводы и рекомендации для специалистов по безопасности
Появление Massiv сигнализирует о продолжающейся эволюции мобильных банковских угроз в сторону комплексного удаленного захвата устройств. Наличие в коде API-ключей для взаимодействия с бэкендом указывает на возможность дальнейшего развития в сторону модели Malware-as-a-Service (MaaS, «Вредоносное ПО как услуга»), когда инструмент могут арендовать менее квалифицированные преступные группы.
Хотя на текущий момент кампании носят целевой и ограниченный характер, мощные возможности троянца требуют повышенного внимания со стороны финансовых учреждений и команд безопасности (SOC). Традиционные сигнатуры могут пропускать такие атаки из-за их узкой направленности и использования легитимных механизмов операционной системы.
Для противодействия подобным угрозам рекомендуется усиливать мониторинг аномальной активности, связанной со службой специальных возможностей на корпоративных и личных устройствах сотрудников. Пользователям необходимо проводить разъяснительную работу об опасности установки приложений из неофициальных источников, особенно тех, что обещают доступ к бесплатному премиум-контенту. Ключевой мерой защиты остается принцип наименьших привилегий: следует ограничивать права приложлений, отключая ненужные разрешения, особенно доступ к специальным возможностям и возможность перехвата уведомлений, если в этом нет явной необходимости для работы программы.
Индикаторы компрометации
MD5
- 742bd30969e47f290c4081c2c1e58386
SHA1
- da372ed626ba7bfe4ae22c988daabfa403ecce93
SHA256
- 54d4cb45fb7a18780ff2ccc7314b9b51ae446c58a179abbf9e62ce0c28539e8e
- f9a52a923989353deb55136830070554db40f544be5a43534273126060f8c1f6
